> ## Documentation Index
> Fetch the complete documentation index at: https://auth0.com/llms.txt
> Use this file to discover all available pages before exploring further.

# Configurer l’authentification par canal d’appui initiée par le client

> Apprenez comment configurer l’authentification par canal d’appui initiée par le client pour votre locataire.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Pour utiliser les fonctionnalités de l'authentification par canal d’appui initiée par le client (CIBA), vous devez disposer d'un Plan Entreprise ou un module d'extension approprié. Référez-vous à  [Tarification Auth0](https://auth0.com/pricing/)
</Callout>

Le [flux d'authentification par canal d’appui initiée par le client (CIBA)](/docs/get-started/authentication-and-authorization-flow/client-initiated-backchannel-authentication-flow) est un flux d'authentification et d'autorisation découplé, défini par la OpenID Foundation. Vous pouvez utiliser le flux CIBA dans des flux de travail asynchrones où l'appareil initiant la demande CIBA (l'appareil de consommation) est différent de l'appareil utilisé par l'utilisateur pour s'authentifier (l'appareil d'authentification).

Pour configurer l'authentification CIBA dans Aut0, vous devez :

* [Configurer le type d'autorisation pour votre application](#configure-ciba-grant-type-for-your-application)
* [Activer les canaux de notification pour votre application](#enable-notification-channels-for-you-application)
* [Configurer le canal de notification pour CIBA](#configure-notification-chanel)

## Prérequis

Avant de configurer l'authentification CIBA pour votre application, assurez-vous de définir une [méthode d'authentification](/docs/secure/application-credentials#application-authentification-methods) pour votre application. Vous pouvez utiliser toute méthode d'authentification, incluant l'authentification mTLS, par clé privée <Tooltip tip="JSON Web Token (JWT): Standard ID Token format (and often Access Token format) used to represent claims securely between two parties." cta="View Glossary" href="/docs/glossary?term=JWT">JWT</Tooltip>, et <Tooltip tip="JSON Web Token (JWT): Standard ID Token format (and often Access Token format) used to represent claims securely between two parties." cta="View Glossary" href="/docs/glossary?term=Client+Secret">Secret client</Tooltip>, pour le flux CIBA.

Pour définir la méthode d'authentification pour votre application, consultez [Paramètres des identifiants](/docs/get-started/applications/credentials).

## Configurer le type d'autorisation CIBA pour votre application

Vous pouvez configurer le type d'autorisation CIBA pour votre application dans le [Auth0 Dashboard](https://manage.auth0.com/) ou la [Management API](https://auth0.com/docs/api/management/v2).

Certaines restrictions s'appliquent aux types de clients pouvant utiliser le type d'autorisation CIBA. Vous pouvez utiliser le type d'autorisation CIBA uniquement si :

* Le client est un client de première partie, p. ex. la propriété `is_first_party` est `true`.
* Le client est confidentiel avec un mécanisme d'authentification, c'est-à-dire que la propriété `token_endpoint_auth_method` ne doit pas être définie sur `none`.
* Le protocole client doit être conforme à la norme OIDC, c'est-à-dire que la propriété `oidc_conformant` doit être définie sur `true`. Il s'agit du comportement par défaut pour tous les nouveaux clients.

Une fois que vous activez le type d'autorisation CIBA, les paramètres de configuration des [canaux de notification](#enable-notification-channels-for-your-application) disponibles pour votre application deviendront visibles.

<Tabs>
  <Tab title="Auth0 Dashboard">
    Pour configurer CIBA pour votre application avec le Auth0 Dashboard:

    1. Rendez-vous à **Applications > Applications** dans le Auth0 Dashboard.
    2. Créez une application puis activez l'**Authentification par canal d’appui initiée par le client (CIBA)** sous l'onglet **Types d'autorisation**:

    <Frame>
      <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/cdy7uua7fh8z/54TD5VRQVAOWxBdnFEpvTT/223866f22f6c3ddfa87e48221d69ba58/CIBA_grant_-_English.png" alt="" />
    </Frame>

    3. Cliquez sur **Enregistrer les modifications**.
  </Tab>

  <Tab title="Management API">
    Pour configurer l'authentification CIBA pour votre application en utilisant la Management API, utilisez le point terminal [Mettre à jour un Client](https://auth0.com/docs/api/management/v2/clients/patch-clients-by-id) pour ajouter le type d'autorisation `urn:openid:params:grant-type:ciba`  à la liste des types d'autorisation sur l'objet client:

    ```bash lines theme={null}
    curl --location --request PATCH 'https://{yourDomain}.auth0.com/api/v2/clients/{clientId}' \
    --header 'Content-Type: application/json' \
    --header 'Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>' \
    --data '{
        "grant_types": [
            "authorization_code",
            "refresh_token",
            "urn:openid:params:grant-type:ciba"
        ]
    }'
    ```

    Vous pouvez aussi utiliser notre trousse SDK Go Management API. Pour en apprendre davantage, consultez [Trousses SDK](/docs/libraries):

    ```go lines theme={null}
    myClient := &Client{
        Name:        auth0.Stringf("CIBA-enabled-client"),
        Description: auth0.String("This is a CIBA enabled client."),
        GrantTypes:  &[]string{"urn:openid:params:grant-type:ciba"},
      }

      err := api.Client.Create(context.Background(), myClient)
    ```
  </Tab>
</Tabs>

## Activer les canaux de notification pour votre application

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Pour utiliser les fonctionnalités de l'authentification par canal d’appui initiée par le client (CIBA), vous devez disposer d'un Plan Entreprise ou d'un module d'extension approprié. Consulte [Tarification Auth0](https://auth0.com/pricing/) pour plus de détails.
</Callout>

Une fois que vous avez activé le type d'autorisation CIBA pour votre application, vous pouvez configurer les canaux de notification activés pour le flux CIBA. Si vous avez activé plusieurs canaux de notification, CIBA utilise la valeur du paramètre `requested_expiry` pour déterminer lequel utiliser. Le paramètre `requested_expiry` détermine la durée de validité maximale, en secondes, de la session CIBA :

* [Notifications poussées mobiles](#configure-mobile-push-notifications) : Si vous réglez votre `requested_expiry` à une valeur de 300 secondes ou moins, CIBA utilise le canal de notification poussée mobile, s’il est activé.
* [Notifications par courriel](#configure-email-notifications ): Si vous définissez votre `requested_expiry` sur une valeur comprise entre 301 et 259200 secondes (72 heures), CIBA utilise le canal de notification par courriel s'il est activé.

<Tabs>
  <Tab title="Auth0 Dashboard">
    Pour configurer le canal de notification de votre application avec le Auth0 Dashboard :

    * Rendez-vous à **Applications > Applications**.
    * Dans les paramètres de votre application, rendez-vous à la section **Authentification par canal d’appui initiée par le client (CIBA)** et sélectionnez le ou les canaux de notification à activer.

    <Frame>
      <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/ciba/enable_notification_channel_for_app.png" alt="" />
    </Frame>
  </Tab>

  <Tab title="Management API">
    Effectuez une requête `PATCH` au point terminal `/api/v2/clients` pour votre application client et définissez les canaux de notification pour votre flux CIBA.

    L'exemple de code suivant active le canal de notification `guardian-push` pour le flux CIBA :

    ```bash lines theme={null}
    curl -L --request PATCH 'https://{yourDomain}/api/v2/clients/{clientId}' \
    -H 'Content-Type: application/json' \
    -H 'Accept: application/json' \
    -H "Authorization: Bearer <YOUR_MANAGEMENT_API_ACCESS_TOKEN>" \
    -d '{
        "async_approval_notification_channels":["guardian-push"]
    }'
    ```
  </Tab>
</Tabs>

## Configurer le canal de notification

Une fois que vous avez activé le ou les canaux de notification pour votre application client, configurez le canal de notification pour le flux CIBA :

* [Configurer les notifications mobile poussées](#configure-mobile-push-notifications)
* [Configurer les notifications par courriel](#configure-email-notifications)

### Configurer les notifications mobiles poussées

Pour envoyer des notifications mobile poussées avec CIBA, vous pouvez utiliser :

* L'app Auth0 Guardian
* Une application personnalisée intégrée avec la trousse SDK Auth0 Guardian

Vous pouvez sélectionner quelle application utiliser lors de l'activation des notifications Auth0 Guardian poussées. Si vous souhaitez utiliser une application personnalisée, vous devez l'intégrer à la [trousse SDK Auth0 Guardian](/docs/secure/multi-factor-authentification/auth0-guardian#guardian-sdks). Cela permet à l'utilisateur autorisant d'approuver les défis de notification poussées initiés par le flux CIBA dans votre application personnalisée.

Pour configurer les notifications mobile poussées, assurez-vous de :

* [Activer les notifications Auth0 Guardian poussées](#enable-auth0-guardian-push-notifications)
* [nscrire l'utilisateur autorisé à l'authentification multifacteur (MFA) à l'aide de notifications poussées](#enroll-the-authorizing-user-in-MFA-using-push-notifications)

#### Activer les notifications Auth0 Guardian poussées

Utilisez le Auth0 Dashboard pour activer le facteur [Notification Auth0 Guardian poussée](/docs/secure/multi-factor-authentification/auth0-guardian#enroll-in-push-notifications) pour votre locataire.

Dans le Auth0 Dashboard :

* Sélectionnez **Sécurité > Authentification multifactorielle**

* Activez la **notification poussée à l'aide d'Auth0 Guardian**. Cela peut nécessiter certains paramètres de configuration MFA. Pour en savoir plus, consultez [Configurer les notifications poussées pour la MFA](/docs/secure/multi-factor-authentication/multi-factor-authentication-factors/configure-push-notifications-for-mfa).

<Frame>
  <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/cdy7uua7fh8z/7JKyznvsjTupJpTU7NwdSA/54b04e5b734226e1ee73c4165048b4f6/image2.png" alt="" />
</Frame>

* Pour la valeur de **App de notification poussée**, sélectionnez votre app.

<Frame>
  <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/ciba/push_notification_app.png" alt="" />
</Frame>

* Cliquez sur **Enregistrer**.

#### Inscrivez l'utilisateur autorisé dans les notifications MFA à l'aide des notifications poussées

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Si l'utilisateur n'est pas inscrit aux notifications MFA poussées, Auth0 utilise les notifications par courriel si elles sont configurées, au lieu de rejeter la requête CIBA.
</Callout>

Pour l'application Auth0 Guardian et/ou une application personnalisée, vous devez [inscrire l'utilisateur autorisé aux notifications poussées de MFA](/docs/secure/multi-factor-authentication/auth0-guardian#enroll-in-push-notifications).

Pour vérifier si l'utilisateur est inscrit dans le <Tooltip tip="Auth0 Dashboard: Auth0's main product to configure your services." cta="View Glossary" href="/docs/glossary?term=Auth0+Dashboard">Auth0 Dashboard</Tooltip>, naviguez vers **Gestion des utilisateurs > Utilisateurs** et cliquez sur l'utilisateur :

<Frame>
  <img src="https://mintlify.s3.us-west-1.amazonaws.com/auth0/docs/images/cdy7uua7fh8z/21qtk4F1cOQHMpbXxXYu75/51ba9c5fd1457ffee3f73893acf3c97f/Screenshot_2025-01-13_at_4.13.44_PM.png" alt="" />
</Frame>

Si vous avez défini l'<Tooltip tip="Multi-factor authentication (MFA): User authentication process that uses a factor in addition to username and password such as a code via SMS." cta="View Glossary" href="/docs/glossary?term=Multi-factor+Authentication">authentification multi-facteurs (MFA)</Tooltip> comme étant toujours requise, il sera demandé aux utilisateurs de s'inscrire à la MFA à leur prochaine connexion. Vous pouvez aussi utiliser les [Actions](https://auth0.com/blog/using-actions-to-customize-your-mfa-factors/) pour demander l'inscription à la MFA.

### Configurer les notifications par courriel

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Pour utiliser les notifications courriel avec le flux CIBA, vous devez disposer du module d'extension Auth0 pour les Agents IA. Pour en apprendre davantage, consultez [Tarification Auth0](https://auth0.com/pricing).
</Callout>

Vous pouvez envoyer des notifications par courriel avec le flux CIBA. Pour configurer les notifications par courriel avec CIBA, assurez-vous de :

* [Configurer votre fournisseur de messagerie](#configure-your-email-provider)
* [Configurer votre modèle de courriel](#configure-your-email-template) pour utiliser le modèle d'**approbation asynchrone**
* [S'assurer que l'utilisateur autorisé possède une adresse courriel vérifiée](#ensure-the-authorizing-user-has-a-verified-email-address)

#### Configurez votre fournisseur de messagerie

Bien que vous puissiez utiliser le fournisseur de messagerie intégré d'Auth0 pour tester la livraison des courriels dans vos environnements de développement et de test, vous devez configurer votre propre fournisseur de messagerie pour utiliser les notifications par courriel avec CIBA dans un environnement de production.

Pour apprendre comment configurer votre propre fournisseur de messagerie, consultez [Personnaliser les courriels](/docs/customize/email).

#### Configurez votre modèle de courriel

Pour configurer le modèle de courriel d'**approbation asynchrone** :

<Tabs>
  <Tab title="Auth0 Dashboard">
    1. Naviguez vers **Image de marque > Modèles de courriels**.
    2. Pour **Modèle**, sélectionnez **Approbation asynchrone** dans le menu déroulant.
    3. Remplissez les autres paramètres du modèle en suivant les instructions [Configurer les champs du modèle](/docs/customize/email/email-templates#configure-template-fields) instructions.
  </Tab>

  <Tab title="Management API">
    Effectuez une requête `PATCH` au point terminal `/email-templates/async_approval` et suivez les instructions pour [Configurer les champs du modèle](/docs/customize/email/email-templates#configure-template-fields) pour remplir les autres champs du modèle. Pour en apprendre davantage, consultez [Documentation API pour effectuer une requête PATCH pour les courriels](https://auth0.com/docs/api/management/v2/email-templates/patch-email-templates-by-template-name).

    ```bash lines theme={null}
    curl -L "https://{yourDomain}.auth0.com/api/v2/email-templates" \
    -H 'Content-Type: application/json' \
    -H 'Accept: application/json' \
    -H "Authorization: Bearer <YOUR_MANAGEMENT_API_TOKEN>" \
    -d '{"template":"async_approval","body":"{{application.name}} says click on {{url}}, binding message: {{binding_message}}","subject":"Action Required","syntax":"liquid","enabled":true,"from":""}'
    ```
  </Tab>
</Tabs>

#### Assurez-vous que l'utilisateur autorisé possède une adresse courriel vérifiée.

<Callout icon="file-lines" color="#0EA5E9" iconType="regular">
  Si l'utilisateur ne possède pas d'adresse courriel vérifiée, Auth0 rejette la requête CIBA par courriel.
</Callout>

Pour envoyer une notification par courriel avec CIBA, l'utilisateur autorisé doit disposer d'une adresse courriel vérifiée associée à son compte utilisateur.

Pour vérifier que l'utilisateur possède une adresse courriel vérifiée à l'aide de Auth0 Dashboard :

1. Naviguez vers **Gestion des utilisateurs > Utilisateurs** et cliquez sur l'utilisateur.
2. Sous **Courriel**, l'utilisateur devrait comporter une adresse courriel vérifiée.
